只需這四步，就能徹底防禦Petya勒索病毒

知識 06-28

6月27日，據國外媒體在twitter爆料，一種類似於「WannaCry」的新型勒索病毒席捲了歐洲，烏克蘭境內地鐵、電力公司、電信公司、切爾諾貝利核電站、銀行系統等多個國家設施均遭感染導致運轉異常。該病毒代號為「Petya」，騰訊電腦管家溯源追蹤到中國區最早攻擊發生在2017年6月27號早上，通過郵箱附件傳播。另據烏克蘭CERT官方消息稱，郵箱附件被確認是該次病毒攻擊的傳播源頭。

（烏克蘭CERT官方消息確認郵箱附件為此次病毒攻擊的傳播源）

據騰訊安全反病毒實驗室研究發現，騰訊電腦管家分析後發現病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在135、139、445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟後，會顯示一個偽裝的界面，假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

目前，騰訊電腦管家已可全面防禦Petya勒索病毒，安裝電腦管家的用戶只需升級或下載最新版騰訊電腦管家即可抵禦Petya等勒索病毒的侵襲。

（騰訊電腦管家已可查殺Petya勒索病毒）

如果沒有安裝電腦管家，請按照以下指南安全開機：

一是，下載「勒索病毒離線版免疫工具」。在另一台無重要文檔的電腦上下載騰訊電腦管家的「勒索病毒離線版免疫工具」（以下簡稱「免疫工具」），（下載地址https://pm.myapp.com/s/QMWCTool.exe），並將「免疫工具」拷貝至安全的U盤或移動硬碟。如果出現系統不支持免疫工具的情況，用戶可到微軟官網下載補丁包。

二是，斷網備份重要文檔。如果電腦插了網線，則先拔掉網線；如果電腦通過路由器連接wifi，則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

三是，運行免疫工具，修復漏洞。首先拷貝U盤或移動硬碟里的「免疫工具」到電腦。待漏洞修復完成後，重啟電腦，就可以正常上網了。

四、開啟實時防護和文檔守護者工具，預防變種攻擊。下載騰訊電腦管家最新版，保持實時防護狀態開啟（默認已開啟）。並打開電腦管家的文檔守護者工具，自動備份重要文檔。

此外，針對管理員用戶，騰訊電腦管家建議如下：

一是，禁止接入層交換機PC網段之間135、139、445三個埠訪問。

（使用教程地址：https://guanjia.qq.com/petya/index.html）

二是，要求所有員工按照上述1-4步修復漏洞

三是，使用「管理員助手」（下載地址：https://pm.myapp.com/s/ms_scan.zip）確認員工電腦漏洞是否修復

命令行：MS_17_010_Scan.exe 192.168.164.128